Mit Wirkung zum 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten und ersetzt das bisherige deutsche Datenschutzrecht. Viele Experten erwarten, dass sich als Folge des neuen europäischen Datenschutzrechts die Unternehmenskultur grundlegend ändern wird. Diese Prognose wird im Folgenden durch nähere Hintergrundinformationen und fünf konkrete Thesen unterfüttert.
Zielsetzungen der Europäischen Datenschutz-Grundverordnung
Die wesentlichen Zielsetzungen des Gesetzgebers ergeben sich insbesondere aus Art. 1 sowie aus den umfangreichen Erwägungsgründen der DSGVO. Dazu gehört zum einen die weitere Stärkung des Verbraucherschutzes, zum anderen die angestrebte Harmonisierung der Datenschutzvorschriften der Mitgliedsländer durch Ausprägung eines einheitlichen europäischen Datenschutzniveaus. Zudem sollen der freie Verkehr personenbezogener Daten zwischen den Mitgliedsstaaten sowie ein grenzüberschreitender, standardisierter Datenaustausch ermöglicht werden.
Territorialer Anwendungsbereich der DSGVO
Hat der datenschutzrechtlich Verantwortliche oder Auftragsdatenverarbeiter eine Niederlassung in der Union, so unterliegen diese gem. Art. 3 Abs. 1 dem Anwendungsbereich der DSGVO unabhängig vom Ort der Datenverarbeitung. Besteht keine Niederlassung in der EU, so unterliegt die verantwortliche Stelle bzw. der Auftragsdatenverarbeiter gem. Art. 3 Abs. 2 Nr. a dennoch der DSGVO, soweit sich die Betroffenen innerhalb der Union befinden und ihnen Waren/Dienstleistungen angeboten werden. Es reicht also bereits aus, dass sich die betroffenen Personen in der Union aufhalten, wobei auch ein kurzfristiger Aufenthalt genügt, soweit in diesem Zeitraum Daten erhoben und verarbeitet wurden. Auf die Staatsangehörigkeit oder den Status als Unionsbürger kommt es hingegen nicht an. Art. 3 Abs. 2 Nr. b DSGVO erweitert den Anwendungsbereich zudem auf ausländische Unternehmen ohne Niederlassung in der Union auch auf die Fälle, in denen der Betroffene innerhalb der EU überwacht wird. Für die Zukunft gilt daher, dass es relativ wenig bringt, die Leistungserbringung und Datenverarbeitung ins Ausland zu verlagern, soweit sich diese Angebote an EU Bürger oder Personen richten, die sich innerhalb der EU befinden. Dies haben auch die großen internationalen Technologie-Konzerne außerhalb der EU und insbesondere in den USA erkannt und beschäftigen sich intensiv mit der EU-DSGVO, weil sie sich letztlich nicht entziehen können. De-facto wirkt die EU-Verordnung also weit über die Unionsgrenzen hinaus.
Wirksame Kontrollinstrumente und Sanktionsmittel
Bei Verstößen drohen den betroffenen Unternehmen Bußgelder von bis zu 20 Mio. € bzw. in Höhe von 4 % des globalen Umsatzes (je nachdem, was höher ist). Den Verantwortlichen droht eine Freiheitsstrafe von bis zu drei Jahren. Dies ist wohl der Hauptgrund für die Annahme, dass die Unternehmen und gerade auch die großen internationalen Konzerne aus den sog. Drittstaaten (außerhalb der EU) Rechtsverletzungen als ernsthaftes Geschäftsrisiko betrachten müssen und Datenschutzanforderungen nicht ignorieren können, wie dies in der Vergangenheit bisweilen der Fall war. Durch den umfangreichen Katalog an Transparenz-, Informations- und Dokumentationspflichten, Melde- und Benachrichtigungspflichten sowie durch die aufsichtsrechtlichen Kontrollinstrumente und nicht zuletzt durch eine Beweislastumkehr zugunsten der betroffenen Personen ist zudem sichergestellt, dass die Anforderungen der DSGVO auch prozessual abgesichert werden.
5 Thesen: Datenschutz als Teil der Unternehmenskultur
- Das Bewusstsein im Umgang mit Daten wird sich grundsätzlich ändern (müssen), denn Risiken lassen sich nicht mehr so einfach als allgemeines Geschäftsrisiko einpreisen.
- Die Umsetzung der DSGVO ist eine unternehmensweite Herausforderung und muss von jedem einzelnen Mitarbeiter mitgetragen werden, der Umgang mit personenbezogenen Daten hat.
- Unternehmen werden zukünftig weitaus mehr Aufwand betreiben müssen, um den geänderten Datenschutz-Anforderungen gerecht zu werden.
- Ein professionelles Datenschutz-Risikomanagement erleichtert die Entscheidung über notwendige Schutzmaßnahmen sowie die Erfüllung der umfangreichen Informations-, Dokumentations- und Meldepflichten.
- Datenschutz muss im Zentrum des Handelns stehen und Grundlage wesentlicher Geschäftsentscheidungen sein, will sich ein Unternehmen zukunftssicher aufstellen.
Organisatorische Maßnahmen und technische Unterstützung
Unbestritten stellt es gerade zu Beginn eine große Herausforderung dar, die gesetzlichen Anforderungen der DSGVO einzuhalten. Noch dazu wird es jeden treffen: Weltweit operierende Konzerne genauso wie Mittelständler bis hin zu kleineren Unternehmen und Startups. Die gesetzlichen Regelungen zum Beschäftigtendatenschutz, das geforderte Führen eines Verarbeitungsverzeichnisses, die neuen Grundsätze des „Privacy by Design“ und „Privacy by Default“ sowie die obligatorische Datenschutz-Folgenabschätzung stellen ganz neue Herausforderungen insbesondere für die Rechtsabteilung und den Datenschutzbeauftragten dar. Dies wiederum wird umfassende organisatorische und technische Änderungen erfordern. Dabei werden in vielen Geschäftsbereichen Veränderungen vorzunehmen sein, etwa in den Abteilungen Marketing, Vertrieb, Marktforschung, Datenanalyse, HR, Produktmanagement und Kundenservice. In jedem Land, jeder Konzerngesellschaft und nahezu jeder einzelnen Organisationseinheit müssen Prozesse und Tools angepasst werden, vor allem aber sollte Datenschutz als Teil der Unternehmenskultur verankert werden. Vermutlich führt die DSGVO aber auch zu einer Stärkung des Datenschutzbeauftragten und der Rechtsabteilung, die sich gerade jetzt als verlässlicher Business Partner in ressortübergreifenden Teams und als Treiber der allgegenwärtigen Digitalisierung etablieren können. Mit Hilfe von Legal Tech können Transparenz-, Informations- und Dokumentationspflichten effizient und rechtssicher erfüllt werden.